新型勒索病毒的整體安全檢測防護(hù)解決方案V2.0

型訛詐病毒的整體安全檢測防護(hù)解決方案一．大事概況行業(yè)內(nèi)網(wǎng)爆發(fā)訛詐病毒變種今年2月份起，醫(yī)院、政府等行業(yè)爆發(fā)大規(guī)模信息訛詐病毒感染大事，包括GandCrabV5.2、GlobelmposterV3.0等，受影響的系統(tǒng)和數(shù)據(jù)庫文件被加密訛詐。黑客主要是通過釣魚郵件、漏洞利用、惡意程序捆綁等方式進(jìn)入內(nèi)部網(wǎng)絡(luò)，之后通過SMB漏洞攻擊、RDP〔windows系統(tǒng)遠(yuǎn)程桌面協(xié)議〕口令爆破等形式大規(guī)模感染整個(gè)網(wǎng)絡(luò)，導(dǎo)致終端、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫等被加密訛詐，全國大局部省份相關(guān)單位都受到影響。型變種GlobelmposterV3.0GlobelmposterGlobelmposterV3.0訛詐病毒變種攻擊手法格外豐富，可以通過社會工程、RDP爆破、惡意軟件捆綁等方式進(jìn)展傳播其加密文件為*4444擴(kuò)展名，承受RSA2048算法加密文件，目前該病毒樣本加密的文件暫無解密工具，在被加密的名目下生成HOW_TO_BACK_FILES的txt文件，顯示受害者的個(gè)人ID序列號及黑客的聯(lián)系方式等。型變種GandCrabV5.2GandCrab訛詐病毒變種可繞過殺毒軟件的檢測，通過永恒之藍(lán)MS17-010漏洞、共享文件效勞、遠(yuǎn)程桌面效勞〔RDP〕弱口令等方式在內(nèi)網(wǎng)進(jìn)展傳播，隨機(jī)生成后綴名對系統(tǒng)重要數(shù)據(jù)和文件進(jìn)展加密，目前暫無加密工具二．由訛詐病毒反思網(wǎng)絡(luò)安全建設(shè)訛詐病毒并非APT攻擊，僅僅是病毒攻擊行為，并不是不行防范的。并且，微軟在17年就已經(jīng)公布了SMB開放等方面的安全意識需要提升之外，主要的緣由還有以下幾點(diǎn)：大量用戶缺乏全過程保護(hù)的安全體系這起大事并非APT攻擊或0DAY檢測和解決問題的方法。無視了內(nèi)部局域網(wǎng)、專網(wǎng)和數(shù)據(jù)中心的安全防護(hù)如專網(wǎng)、內(nèi)網(wǎng)、數(shù)據(jù)中心，這些區(qū)域過去被用戶認(rèn)為是相對安全的區(qū)域，很多客戶在這些區(qū)域僅僅部署了傳統(tǒng)防火墻進(jìn)展防護(hù)。但訛詐病毒感染內(nèi)部網(wǎng)絡(luò)的途徑很多，比方U盤等存儲介質(zhì)、比方社會工程學(xué)，再或者是與DMZ過于簡單的安全體系，沒有發(fā)揮應(yīng)有作用體系，使得安全設(shè)備并沒有用好，沒有準(zhǔn)時(shí)更，沒有準(zhǔn)時(shí)獵取到安全大事等。用戶通過簡單的用戶喪失了對安全的信任，并沒有很好的把安全設(shè)備用起來，這也是造成用戶被感染的緣由。三．事前防護(hù)+事中監(jiān)測+事后處置的整體安全解決方案基于訛詐病毒的這一類安全大事因此該解決方案基于事前、事中、事后全過程設(shè)計(jì)，通過下一代防火墻AF、終端檢測響應(yīng)軟件EDR、全網(wǎng)安全大數(shù)據(jù)檢測平臺和人工安全效勞等實(shí)現(xiàn)：事前風(fēng)險(xiǎn)預(yù)知、事中有效防范針對訛詐病毒的防護(hù)，應(yīng)當(dāng)依據(jù)病毒感染的完整生命周期進(jìn)展防護(hù)，必需涵蓋事前的防護(hù)、病毒入侵后的持續(xù)監(jiān)測、覺察病毒快速處置三個(gè)環(huán)節(jié)。||事前防范邊界防護(hù):防止病毒從邊界入侵，關(guān)閉風(fēng)險(xiǎn)傳輸端口，更防護(hù)規(guī)章，阻斷傳播|持續(xù)監(jiān)測|持續(xù)監(jiān)測病毒入侵后會橫向掃描、廣泛集中生殖。持續(xù)監(jiān)測能第一時(shí)間覺察入侵大事，準(zhǔn)時(shí)止損||隔離+處置除病毒文件。|事前防范:邊界+終端立體防護(hù)訛詐病毒的本質(zhì)屬于蠕蟲病毒，利用Windows漏洞或遠(yuǎn)程桌面弱口令作為入口點(diǎn)進(jìn)展傳對于無法打補(bǔ)丁的重要業(yè)務(wù)系統(tǒng)和大規(guī)模終端場景，或出于業(yè)務(wù)需要無法關(guān)閉相關(guān)端口的狀況下，通過深信服下一代防火墻AF和終端檢測響應(yīng)系統(tǒng)EDR的組合方案，能夠快速構(gòu)建起邊界+終端的立體防護(hù)力量。針對最爆發(fā)的訛詐病毒變種，AF能夠快速同步威逼情報(bào)，對用戶網(wǎng)絡(luò)進(jìn)展自檢分析是否AF針對終端層面，EDR可結(jié)合威逼情報(bào)自動對終端進(jìn)展基線核查，檢查終端是否存在可被利用漏洞、弱密碼、擔(dān)憂全端口開放等風(fēng)險(xiǎn)，在安全大事發(fā)生前幫助用戶準(zhǔn)時(shí)覺察并修復(fù)潛在業(yè)務(wù)威逼風(fēng)險(xiǎn)。同時(shí)對于最變種GlobeImposter病毒，EDR能夠其防范通過3389端口遠(yuǎn)程暴力破解終端的傳播方式，屢次登錄失敗后直接拒絕處理。|持續(xù)監(jiān)測:第一時(shí)間覺察已感染主機(jī)訛詐病毒版本更頻繁、入侵方式多變，僅靠防護(hù)無法保障100%的安全;一旦訛詐病毒入侵會先埋伏、再掃描、最終由點(diǎn)及面快速集中，造成爆發(fā)式破壞。因此需要對全網(wǎng)進(jìn)展持續(xù)監(jiān)測，第一時(shí)間覺察第一臺失陷的主機(jī)，并進(jìn)展應(yīng)急處置，將訛詐病毒造成的損失降到最低。深信服全網(wǎng)安全大數(shù)據(jù)檢測平臺解決方案，供給對全網(wǎng)安全的實(shí)時(shí)監(jiān)控、動態(tài)感知的力量。SIPEDR上報(bào)終端日志信息和AF上報(bào)邊界防范日志進(jìn)展匯總關(guān)聯(lián)分析，聯(lián)等訛詐病毒行為，并準(zhǔn)時(shí)告警，幫助用戶在訛詐病毒大面積感染前準(zhǔn)時(shí)覺察。|快速處置:先隔離，再殺毒針對已中毒主機(jī)，盲目查殺往往會造成查殺完反復(fù)感染、一邊查殺一邊集中的問題，嚴(yán)峻降數(shù)目和分布，接著隔離全部中毒主機(jī)，避開進(jìn)一步集中或患病二次感染，最終通過專殺工具或系統(tǒng)恢復(fù)等手段逐一處理，去除病毒文件，徹底解決病毒大事。行為分析快速定位出全網(wǎng)失陷主機(jī)，并通過聯(lián)通EDR系統(tǒng)可實(shí)現(xiàn)一鍵隔離全部失陷主機(jī)，掌握AFEDR針對失陷主機(jī)進(jìn)展定點(diǎn)查殺，假設(shè)無法查殺可通過專殺工具或系統(tǒng)恢復(fù)徹底去除威逼，將對用戶的損失降至最低。四．整體解決方案建設(shè)優(yōu)勢?事前+事中+事后的全流程融合保護(hù)?邊界+端點(diǎn)+人工的三級立體防護(hù)?簡潔、有效的可視化安全運(yùn)營，安全可感知、易運(yùn)營?基于AI的精準(zhǔn)檢測力量，提升已入侵的未知威逼檢出率五．推舉預(yù)防加固方案1、此次訛詐病毒大事發(fā)生在相對隔離的區(qū)域泛濫。建議還需要重點(diǎn)加固傳統(tǒng)安全建設(shè)的薄弱區(qū)：在廣域網(wǎng)分支、局域網(wǎng)和數(shù)據(jù)中心內(nèi)部等區(qū)域，在傳統(tǒng)ACL掌握策略的根底上，通過增加系統(tǒng)層和應(yīng)用層的安全防護(hù)技術(shù)，提升防范有效性。2、建議承受網(wǎng)絡(luò)分級分區(qū)防護(hù)措施，下一代防火墻會過濾邊界中應(yīng)用層威逼流量，防止病毒、木馬等威逼在網(wǎng)絡(luò)內(nèi)部橫向集中，有效避開分支機(jī)構(gòu)因薄弱的安全建設(shè)成為黑客入侵的短板，同時(shí)實(shí)現(xiàn)安全投資最大化。封閉RDP協(xié)議端口加固防護(hù)線：在互聯(lián)網(wǎng)出口和邊界處封堵RDP協(xié)議端口〔3389〕，同時(shí)加強(qiáng)對外公布的web業(yè)務(wù)的應(yīng)用層防護(hù)。對于無需開放RDP協(xié)議的主機(jī)，承受安全策略封堵RDP端口或協(xié)議，建議承受下一代應(yīng)用層防火墻在互聯(lián)網(wǎng)出口和專網(wǎng)邊界部署完成此項(xiàng)功能。3、構(gòu)建終端防護(hù)和響應(yīng)力量：在主機(jī)上部署終端管控軟件，終端管控軟件應(yīng)能夠防御最型的訛詐病毒攻擊以及未知風(fēng)險(xiǎn)，并利用微隔離功能封堵RDP協(xié)議防止集中，區(qū)分于傳統(tǒng)殺毒軟件，建議承受下一代EDR終端安全檢測響應(yīng)軟件，從而提高檢出率和多層級響應(yīng)力量。4、持續(xù)檢測訛詐病毒行為：通過部署探針系統(tǒng)，對于沒有防火墻防護(hù)節(jié)點(diǎn)的辦公網(wǎng)之間的通訊流量、專網(wǎng)與專網(wǎng)核心交換機(jī)上的全網(wǎng)流量進(jìn)展抓取，并通過部署全網(wǎng)安全大數(shù)據(jù)檢測平臺，利用機(jī)器學(xué)習(xí)和人工智能技術(shù)進(jìn)展綜合分析，持續(xù)檢測，從而識別和捕獲內(nèi)部尚未爆發(fā)的埋伏威逼。同時(shí)感知平臺還應(yīng)當(dāng)具備同時(shí)接入防火墻、終端管控的流量、策略和安全內(nèi)容日志，全面分析型訛詐病毒的攻擊面及其影響范圍，并進(jìn)展實(shí)時(shí)呈現(xiàn)，幫助組織提升應(yīng)急處置速度。5、人工安全效勞：供給專業(yè)的威逼分析、威逼處置和加固建議效勞，從而實(shí)現(xiàn)威逼覺察處處置的閉環(huán)安全效果。六．其他預(yù)防措施：1、提升安全意識，更改登錄賬戶密碼，設(shè)置強(qiáng)密碼，避開多個(gè)系統(tǒng)使用同一口令；2、